您现在的位置 : 路由人 > 路由器设置 > 正文 IP地址冲突 路由人教你更换IP地址 / 如何防蹭网的终极解决办法 / 连接上192.168.1.1没有账号、密码输入框 /

阿尔法路由器与硬件防火墙

说到路由器与防火墙,想必有不少网友都会认为路由器中已经有防火墙了,但今天我们要说的是硬件防火墙,路由器是基于对网络数据包路由而产生的,需要完成的是将不同网络的数据包进行有效的路由,防火墙是基于对安...

说到路由器与防火墙,想必有不少网友都会认为路由器中已经有防火墙了,但今天我们要说的是硬件防火墙,路由器是基于对网络数据包路由而产生的,需要完成的是将不同网络的数据包进行有效的路由,防火墙是基于对安全性的需求,数据包是否应该通过、通过后是否会对网络造成危害。

一、审计功能

阿尔法路由器本身没有审计分析工具,对日志、事件的描述采用的是单纯的记录,没有存储介质,只能通过采用外部的日志服务器等来完成对日志、事件的存储,对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。

二、核心技术

阿尔法路由器核心的ACL列表是基于简单的包过滤,防火墙是基于状态包过滤的应用级信息流过滤,假设内网的一台电脑,通过路由器防火墙对内网提供服务,为了保证安全性,在路由器上需要配置成:外-内只允许client访问server的tcpXX端口,其他拒绝。

阿尔法路由器防火墙不能监测TCP的状态,如果在内网的client和路由器之间放上防火墙,由于防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性,防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。

三、根本目的

路由器的根本目的是保持网络和数据通畅,而防火墙根本的的目的是保证任何非允许的数据包不能通过。

四、安全策略

阿尔法路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,出错率比较高,防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。

五、性能影响

阿尔法路由器是被设计用来转发数据包的,而不是专门设计作为防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器防火墙的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。

防火墙的硬件配置非常高,其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高,对性能的影响接近于零。

六、防范攻击

对于像阿尔法这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,大部分路由器防火墙不具有这样的高级安全功能。

用户的网络的情况决定是否应该使用防火墙的标准,如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分。

延伸阅读:
  • 本月热点
  • 随机推荐
路由人提示:如需转载本站无线连接及路由器设置等技术文章请您注明出处,谢谢!
Copyright © www.LuYouRen.com, All Rights Reserved.
  苏ICP备12075116号